De aanvaller verkoopt via chatbots op Telegram privégegevens van miljoenen klanten van Star Health, de grootste zorgverzekeraar van India. De verzekeraar erkent het datalek in een reactie en meldt hiervan melding te hebben gemaakt bij de lokale autoriteiten.
Reuters probeerde de chatbots uit en kon zo onder meer documenten gerelateerd aan verzekeringsclaims en verzekeringspolissen downloaden. Hierop zijn onder meer namen, telefoonnummers, adresgegevens, belastinggegevens, kopieën van ID-kaarten, testresultaten en medische diagnoses te vinden.
Alles bij de bron; Dutch-IT-Channel
Socialemediagebruikers vinden hun foto’s regelmatig terug op nepaccounts. Waarom grijpen de platforms en toezichthouders niet in?
Vincent de Paauw werkt als purser bij Transavia en maakt voor het YouTube-kanaal van de vliegmaatschappij vlogs. Op zijn eigen Instagram plaatst hij voor zijn drieduizend volgers vrolijke foto’s van zijn werkdagen op Schiphol en in de lucht.
„Gelukkig sturen mijn volgers mij een bericht als ze nepaccounts met mijn foto’s tegenkomen. Ik rapporteer die accounts meteen. Je weet dat dit soort dingen gebeuren dus ik ben dan ook niet echt in shock, maar het is echt heel gek om er achter te komen dat ik op andere accounts blijkbaar naaktfoto’s van mezelf verkoop.”
Eind augustus sprak NRC met influencer Demi Maric haar foto’s zijn zonder haar toestemming al op de gekste plekken terechtgekomen. Telkens wanneer zij bij Meta, het bedrijf achter Instagram en Facebook, een nepaccount rapporteert krijgt ze te horen dat er niets aan de hand lijkt te zijn en het waarschijnlijk niet om een nepaccount gaat.
Maric en De Paauw zijn geen uitzonderingen NRC sprak een tiental mensen, die niet met hun naam in de krant willen, van wie aan de lopende band foto’s worden gebruikt zonder hun toestemming. De één kreeg meerdere Tinderprofielen doorgestuurd met zijn eigen foto’s, een ander kreeg te horen dat haar hond op Facebook te koop werd aangeboden. Iemand kwam er zelfs achter dat er in zijn naam professionele opdrachten door iemand anders werden uitgevoerd.
Iedereen die de krant sprak reageert op dezelfde manier; ze rapporteren het nepaccount bij het sociale netwerk waarop het account actief is en vullen daar ook het online klachtenformulier. Van X (voorheen Twitter) en Meta zeggen gebruikers niet eens meer te verwachten dat er iets met die meldingen wordt gedaan. Het werkt beter om je volgers te waarschuwen op je eigen account.
De toezichthouder Autoriteit Persoonsgegevens (AP) adviseert gedupeerden niet alleen melding te doen bij het platform zelf, maar ook bij het AP óf het Centraal Meldpunt Identiteitsfraude. „Het lijkt alsof veel mensen niet weten dat het illegaal is om een foto van iemand anders zomaar te gebruiken. Als ik mijn auto parkeer, is het strafbaar als jij die ongevraagd meeneemt voor een ritje. Dit geldt ook voor andermans foto’s online”, zegt AP-woordvoerder Caspar Itz.
Alles bij de bron; NRC [scanned]
Grote socialmedia- en streamingbedrijven, waaronder Facebook, YouTube en TikTok, houden zich bezig met grootschalige surveillance van gebruikers, zo stelt de Amerikaanse toezichthouder FTC op basis van een eigen onderzoek (pdf) naar negen bedrijven: Amazon, Meta, YouTube, X, Snap, ByteDance, Discord, Reddit en WhatsApp.
"Het rapport laat zien hoe socialmedia- en videostreamingbedrijven enorme hoeveelheden data van Amerikanen verzamelen om daar miljarden dollars per jaar aan te verdienen", zegt Lina Khan van de FTC. "Hoewel lucratief voor de bedrijven, brengen deze surveillancepraktijken de privacy van mensen in gevaar, bedreigen hun vrijheden en stellen ze bloot aan allerlei kwalijke zaken, van identiteitsdiefstal tot stalking." Daarbij maakt de FTC zich vooral zorgen over de slechte bescherming van kinderen en tieners door sommige van de bedrijven.
De systemen van de bedrijven verwerken persoonlijke informatie van zowel gebruikers als niet-gebruikers van hun platforms. Die hebben vaak geen manier om zich voor de gegevensverwerking af te melden. Op basis van het onderzoeksrapport stelt de FTC dat er wetgeving moet komen om de surveillance aan banden te leggen en datarechten aan gebruikers toe te kennen.
Alles bij de bron; Security
Een onderzoek van beveiligingsbedrijf AppOmni heeft aan het licht gebracht dat meer dan 1000 ServiceNow-instanties potentieel gevoelige gegevens uit hun kennisbank blootleggen.
Dit soort gegevens kan een schatkamer zijn aan interne informatie, zoals oplossingen voor veelvoorkomende problemen, IT-ondersteuningsverzoeken, systeemdetails en zelfs inloggegevens.
Als cybercriminelen toegang krijgen tot deze gevoelige informatie, kunnen ze dit gebruiken om andere bedrijfssystemen aan te vallen. Denk hierbij aan het stelen van inloggegevens om toegang te krijgen tot databases of het ontvreemden van vertrouwelijke bedrijfsdocumenten.
De oorzaak van deze datalekken ligt vaak in verouderde of foute configuraties van de toegangsrechten.
ServiceNow bevestigt dat ze op de hoogte zijn van het onderzoek en is nu bezig met een grootschalig initiatief om de configuraties van alle kennisbanken te controleren en waar nodig aan te passen.
Alles bij de bron; Dutch-IT-Channel
Meta rolt speciale accounts uit met nieuwe privacy-instellingen voor tienergebruikers van Instagram. Dit is de nieuwste poging om hun blootstelling aan schadelijke inhoud op zijn apps te beperken onder druk van de regelgeving.
Het sociale mediabedrijf zei dat het alle aangewezen accounts automatisch zal overzetten naar tieneraccounts, die standaard privéaccounts zullen zijn.
Gebruikers van dergelijke accounts kunnen alleen berichten ontvangen en getagd worden door accounts die ze volgen of waarmee ze al verbonden zijn, terwijl de instellingen voor gevoelige inhoud op het meest restrictieve niveau worden gezet.
Gebruikers jonger dan 16 jaar kunnen de standaardinstellingen alleen wijzigen met toestemming van een ouder. Ouders krijgen ook een reeks instellingen om te controleren met wie hun kinderen omgaan en om hun gebruik van de app te beperken.
De stap van Meta komt drie jaar nadat het bedrijf de ontwikkeling van een versie van de Instagram-app voor tieners had gestaakt, nadat wetgevers en belangengroepen het bedrijf hadden aangespoord om de app te laten vallen, vanwege bezorgdheid over de veiligheid.
Meta zegt dat het de geïdentificeerde gebruikers binnen 60 dagen in tieneraccounts zal plaatsen in de VS, het VK, Canada en Australië en later dit jaar in de Europese Unie. Tieners over de hele wereld zullen in januari tieneraccounts krijgen.
Alles bij de bron; MarketScreener
De Nederlandse politie heeft mogelijk een infiltrant ingezet om telefoons voorzien van de encryptiedienst Sky ECC in het criminele milieu te slijten. Dat is naar voren gekomen in het strafproces tegen een Canadees die in Frankrijk terechtstaat voor onder meer lidmaatschap van de criminele organisatie Sky ECC.
Sky ECC is in 2008 opgericht door Jean-François Eap in Vancouver, Canada. Vanaf 2013 ontwikkelde hij het communicatienetwerk en de applicatie Sky ECC, een encryptiedienst voor alle typen mobiele telefoon.
Sinds in ieder geval 2018 deed de Nederlandse justitie in samenwerking met Frankrijk onderzoek naar Sky ECC, nadat er in strafrechtelijke onderzoeken veel telefoons met deze applicatie waren aangetroffen.
Frankrijk startte een gerechtelijk vooronderzoek naar het bedrijf Sky ECC en de betrokkenen daarbij. Nederland kreeg – zo schrijft het Openbaar Ministerie in de officiële stukken – alleen maar “bijvangst”. Uit deze bijvangst, de miljarden Sky-berichten, komt nog steeds, de ene na de andere rechtszaak voort.
Opmerkelijk genoeg is de initiator van het Sky-project, Jean-François Eap, nog steeds op vrije voeten gebleven.
Alles bij de bron; Crimesite
Europol zal woensdag op een persconferentie bekend maken dat er opnieuw een encryptiedienst die in gebruik was bij criminelen door de politie is gekraakt. Volgens onbevestigde berichten zou het gaan om No1Bc.
Volgens Europol gebruikten criminelen de dienst om grootschalige drugshandel te organiseren, liquidaties uit te voeren en geld wit te wassen.
Alles bij de bron; Crimesite
Kwetsbaarheden in Apples spraakassistent Siri maken het opnieuw mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone om gevoelige informatie te stelen. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen voor de kwetsbaarheid aangeduid als CVE-2024-40840.
Twee andere Siri-kwetsbaarheden (CVE-2024-44139 en CVE-2024-44180) maken het mogelijk voor een aanvaller met fysieke toegang om op een vergrendelde iPhone toegang tot contacten te krijgen.
Verder zorgt een 'privacyprobleem' in Siri ervoor dat malafide apps toegang tot gevoelige gebruikersgegevens kunnen krijgen. Apple waarschuwt ook voor een beveiligingslek in 'Accessibility' waardoor een aanvaller met fysieke toegang tot een vergrendelde iPhone via het toestel apparaten in de omgeving kan bedienen. Apple heeft de problemen verholpen in iOS en iPadOS 18. In augustus kwam Apple ook al met updates voor verschillende Siri-kwetsbaarheden.
Alles bij de bron; Security
De persoonlijke gegevens van meer dan negenhonderdduizend Britse patiënten, waaronder zaken als seksueel overdraagbare aandoeningen en kanker, zijn gelekt op internet.
De gegevens werden begin juni gestolen bij een ransomware-aanval op Synnovis, een laboratorium dat bloedtests voor ziekenhuizen en zorgorganisaties in Londen verwerkt.
De gestolen gegevens werden door de criminelen achter de Qilin-ransomware gepubliceerd en bestaan uit verzoeken om afspraken, alsmede informatie over medische aandoeningen, maar ook zaken als namen, geboortedatums en contactgegevens. CaseMatrix laat tegenover The Record weten dat het om meer dan negenhonderdduizend patiënten gaat.
Alles bij de bron; Security
Een cybercrimineel claimt 20GB aan data van Capgemini in handen te hebben. Onder meer databases, broncode, private sleutels, inloggegevens, API-keys, projecten en gegevens van werknemers zouden zijn uitgelekt.
The Register zag een deel van de gestolen informatie in en meldt dat de dataset onder meer gegevens van werknemers te bevatten, waaronder namen, e-mailadressen en gehashte wachtwoorden. Daarnaast zou de sample van de dataset ook back-ups omvatten en bestanden gerelateerd aan klanten van Capgemini.
De authenticiteit van de claim is niet te achterhalen. Wel gaan er al langer geruchten over een datalek bij het bedrijf, waar Capgemini eerder niet wilde reageren.
Alles bij de bron; Dutch-IT-Channel